BUSINESS BYTES

DSI : comment trouver l'équilibre entre réduction du dispositif de sécurité et acceptation des risques ?

  • Publié il y a 1 an
  • 3 min de lecture

D'après la dernière étude de Gartner sur les DSI, ces derniers n'investissent plus de la même façon qu'avant. Récemment, la sécurité n'occupe plus le haut de la liste des priorités, remplacée par l'analyse, la veille économique et de la gestion des infrastructures Cloud et mobiles. Au premier abord, cela semble compréhensible : il est bien plus logique pour les entreprises d'investir là où elles peuvent espérer un retour sur investissement élevé ou immédiat. La sécurité des données n'a jamais fait partie de ces domaines hautement rentables. En investissant davantage dans les techniques de protection classiques, telles que les pare-feu, les outils de protection des messageries électroniques et les applications de filtrage du contenu Web, on a facilement l'impression que la sécurité est un poste d'investissement à visée préventive qui ne rapporte pas de bénéfices tangibles.

Cela ne veut évidemment pas dire qu'il s'agit là d'une mauvaise méthode pour affronter les cybermenaces. Les chiffres cités par Gartner montrent bien que de nombreux DSI admettent qu'une approche plus nuancée des questions de sécurité serait plus efficace pour gérer les risques sur le long terme. Dans la pratique, il est d'abord nécessaire de chercher à mieux comprendre les risques posés par Internet en matière de sécurité des données et leurs implications pour l'entreprise.

Les responsables de la sécurité des données devraient considérer leur rôle comme étant absolument essentiel au fonctionnement de l'entreprise. Ils devraient être impliqués dès le début et s'attacher à la protection des actifs les plus importants de l'entreprise avant et après les éventuelles violations. Toutefois, il faut garder à l'esprit que les risques en matière de sécurité des données sont gérables ; ils ne sont pas plus problématiques que les autres types de risques qui menacent l'entreprise. En d'autres termes, pour gérer les risques liés à la sécurité des données, il faut commencer par accepter que certains risques seront toujours présents et qu'il y aura toujours des violations, c'est pourquoi les entreprises devraient toutes mettre en place une stratégie qui leur permette de gérer les atteintes à la sécurité des données lorsqu'elles ont lieu. Plutôt que de faire porter tous les efforts sur la prévention des menaces, de nombreux DSI choisissent désormais de former le personnel à réagir de manière adaptée aux violations. 

La première étape dans la gestion du risque est d'en comprendre la nature. Ainsi, pour mettre en place une stratégie efficace de gestion des risques, il faut commencer par identifier les risques qui menacent directement votre entreprise, puis enseigner aux membres du conseil d'administration et aux principaux responsables ce que sont ces risques et quelle peut être leur incidence. Tout le monde a sa part de responsabilités dans l'efficacité de la stratégie de gestion des risques. Une atteinte à la sécurité des données peut entraîner d'énormes pertes financières et sérieusement écorner une réputation. C'est pourquoi les hauts responsables et les employés de chaque unité d'exploitation doivent comprendre les coûts potentiels des atteintes à la sécurité des données et connaître la marche à suivre en cas de fuite de données.

Pour y parvenir, certaines entreprises s'appuient sur des simulations d'incidents ou de crises. Non seulement cela permet de découvrir les éventuels « angles morts », mais c'est aussi l'occasion pour le personnel de gagner de l'assurance et de se sentir mieux préparé à affronter d'éventuelles violations.

La deuxième étape consiste à bien comprendre que la gestion des risques ne se limite pas à la mise en place et à l'exécution d'un mécanisme d'intervention. Les cadres de gestion et les politiques en matière de risque doivent s'adapter en permanence à l'évolution des cybermenaces. On attendra d'un cadre dirigeant qu'il lance des initiatives visant à modifier la stratégie de gestion des risques, tandis que tout le personnel de l'entreprise devra avoir la possibilité d'émettre des suggestions et d'aider ainsi l'entreprise à mettre en place des mécanismes de gestion des risques optimaux. Rappelons-nous que la stratégie globale de l'entreprise peut évoluer rapidement. L'accès à de nouveaux marchés peut s'accompagner de nouveaux risques financiers et de protection des données. L'utilisation des technologies numériques, telles que les médias sociaux et le Cloud, n'est pas non plus sans conséquences. Votre stratégie de gestion des risques doit tenir compte de la vitesse à laquelle votre entreprise se développe.

Enfin, soyez conscient du fait que l'appétence au risque peut varier grandement d'une unité d'exploitation à l'autre. C'est pourquoi les politiques de protection des données doivent permettre l'acceptation d'un certain niveau de risque, pour une meilleure cohésion au sein de l'entreprise. Les atteintes à la sécurité des données constituent toujours un risque et se produisent régulièrement. Il est donc tout aussi important de prévenir les violations que d'avoir des dispositifs en place pour y faire face lorsqu'elles sont détectées, en s'appuyant sur une bonne compréhension des tenants et aboutissants. La gestion des risques doit s'inscrire dans une stratégie globale visant à évaluer l'appétence au risque, à mettre en application les principes de gestion des risques et enfin à sensibiliser le personnel de l'entreprise au fait que lorsqu'un risque se concrétise, il ne faut pas y voir une défaillance mais plutôt la validation du dispositif mis en place pour y remédier.